Connect with us

technokrata

Megjelent a negyedik, súlyos Windows hibát kihasználó féreg is

Dotkom

Megjelent a negyedik, súlyos Windows hibát kihasználó féreg is

Két RPC-hibát is kihasznál a Gaobot féreg, mégis, talán már megkésve érkezett a terepre, mivel a Blaster, illetve az őt javító Welchia már nagyrészt letakarították a pályát. Aki eddig nem telepítette volna fel a szükséges patch-eket, az most viszont mindenképp pótolja!

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 21.
Utolsó frissítés ideje: 2003. augusztus 21.
Veszélyeztetett rendszerek: Windows NT/2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 53.248 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba Svchosl.exe és Winhl32.exe néven
– hozzáadja a Config Loader=svchosl.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– megnyit egy véletlenszerűen megválaszott TCP-portot a hackerrel való kommunikálásra
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre
– alkotójától érkező parancsokra vár, melyek a következők lehetnek:
. a féreg telepítésének menedzselése
. a feltelepített féreg dinamikus frissítése
. file-ok letöltése és futtatása
. kiszolgáltatott rendszer információinak megszerzése
. a féreg más IRC-használók számára való továbbküldése
. account hozzáadása
– megnyitja a 22226-os portot, és más számítógépek számára letölthetővé teszi a férget
– adatot küld a 135-ös TCP porton, és kihasználja a Windows RPC-sérülékenységét
– ezek után megkísérel behatolni a távoli gépeken található megosztásokba, a következő felhasználónevek és jelszavak segítségével:
. Administrator
. admin
. administrator
. Administrateur
. Default
. mgmt
. Standard
. User
. Administrador
. Owner
. Test
. Guest
. Gast
. Inviter
. a
. aaa
. abc
. x
. xyz
. Dell
. home
. pc
. test
. temp
. win
. asdf
. qwer
. login
– ehhez az alábbi jelszavakat próbálgatja ki:
. admin
. Admin
. password
. Password
. 1
. 12
. 123
. 1234
. 12345
. 123456
. 1234567
. 12345678
. 123456789
. 654321
. 54321
. 111
. 000000
. 00000000
. 11111111
. 88888888
. pass
. passwd
. databse
. abcd
. oracle
. sybase
. 123qwe
. server
. computer
. Internet
. super
. 123asd
. ihavenopass
. godblessyou
. enable
. xp
. 2002
. 2003
. 2600
. 0
. 110
. 111111
. 121212
. 123123
. 1234qwer
. 123abc
. 007
. alpha
. patrick
. pat
. administrator
. root
. sex
. god
. foobar
. a
. aaa
. abc
. test
. temp
. win
. pc
. asdf
. secret
. qwer
. yxcv
. zxcv
. home
. xxx
. owner
. login
. pwd
. pass
. love
. mypc
. mypass
. pw
– ha sikerrel járt a behatolás, a féreg felmásolja magát a távoli számítógépre és le is futtatja magát ott



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek